情報のライフサイクルを意識した漏洩対策を――IIJテクノロジーセミナーより

IIJテクノロジーは先週、情報漏洩対策をテーマとしたセキュリティセミナーを開催。この中で同社の加藤雅彦氏は、ピンポイントの対策にとらわれない取り組みの重要性を訴えた。

» 2004年07月22日 02時06分 公開
[高橋睦美,ITmedia]

 「情報は、モノとは異なる特性を持っている。その特性を踏まえたセキュリティ対策を考えないと、何をやってもピンポイントソリューションに終わってしまうだろう」――アイアイジェイテクノロジーが先日開催したセミナーの中で、同社技術開発部の加藤雅彦氏(セキュリティコンサルティンググループマネージャ)はこのように指摘した。

 昨年から今年にかけて個人情報漏洩事件が頻発したことを受けて、さまざまなセキュリティ対策が提唱されるようになってきた。ただ、PCの盗難対策にせよ、外付けデバイスの制御やメール/掲示板の監視にせよ、どうしても細切れの対策になりがちではないか、というのが加藤氏の見方だ。

 「どこまで対策を施せばいいかわからないままピンポイントの対策を行っていくうちに、『情報を守る』という本来の目的があいまいになってはいないだろうか」(同氏)。それだけならばまだしも、目先の対策に追われて疲れきってしまうケースもあると加藤氏は述べた。

 そういった事態に陥らないためには、もともとの目的に立ち返り、情報というものの特性を理解したうえで対策を考えることが重要だ。

 加藤氏によると、情報の特性としては「無形である」「複製が容易である」「複製による劣化がない」といった要素が挙げられる。こうした特性を踏まえると、情報の漏洩とはつまり「送り手が想定していない相手に機密性のある情報が流れてしまうこと」を指す。

 同氏はさらに、クロード・シャノン博士のコミュニケーションモデルを引き合いに出しながら、情報はどこからでも漏洩しうることを指摘した。「いったいどこが危ないかといえば、どこでも危ない。情報を外に出すということは、常に漏洩の危険性にさらされるということだ」(加藤氏)。

己を知り、敵を知り……

 では、それが分かったところで、具体的にどんなアプローチを取っていけば対策が実現できるだろうか。

 まずは、しばしば指摘されるとおり「己を知る」ことが第一だ。保有している情報を把握し、守備範囲を明確にすべきという。同時に「敵を知る」ことも重要だ。ただ、どのような脅威が存在しうるかという問題は、自分の頭の中だけで考えていても解が得られるとは限らない。いろいろと聞き、情報を集めてはじめて分かるリスクもあるという。

 加藤氏はさらに、3つめの要素として「情報の流れを考えること」「時間の流れを考えること」の重要性を指摘している。

 「人間の一生にさまざまな変化やリスクが付きまとうのと同じように、情報にもライフサイクルがある。その情報の流れが分からなければ、いつ、どこで、どのような対策を取ればいいかが分からない」(加藤氏)。物理的にも、また論理的にも、情報の流通経路をしっかり把握しておくことが大事だと言う。

 流れを考えるというアプローチは、情報漏洩対策においても有効だ。情報漏洩対策となると、一般には抑止や予防といった部分に重点が置かれがちだ。だが情報の特質を考えれば、漏洩が発生してしまった後の検出や事後対応、回復といった分野もきっちり行っていく必要があるという。「火災訓練と同じように、情報漏洩対策訓練も行ったほうがいいのかな、とも思っている」(加藤氏)。

 最後に加藤氏は、「先人に学ぶ」ことも大事だと述べた。ここでいう先人の知恵とは、ISMSやCommon Criteria、GMITSといったさまざまなセキュリティ標準だ。「これらが一番いい方法だ、とは言わない。だが、皆が悩み、知恵を絞っていい方法を模索してきた結果がこれらのベストプラクティスだ」(同氏)。

 ただ、ここで忘れてはならないのは、標準に従うために体裁だけを整えても意味はないということだ。「こうした取り組みを進めるとなると、作業をやっているうちに本質を忘れがちになる。情報を守るという本来の目的を絶えず意識してほしい」(加藤氏)。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ